I ransomware avanzano e non scompariranno fino a quando i criminali informatici ne trarranno profitto. Per ostacolarli occorre formare gli utenti di modo che possano riconoscere gli attacchi e reagire in modo rapido ed efficace.
Autore: Luca Maiocchi
Il mondo digitale è pieno di minacce in continua evoluzione, progettate per eludere le misure di sicurezza che gli utenti possono implementare. Tra queste, il ransomware rimane una delle più persistenti e dannose del panorama odierno. Bloccando l’accesso a sistemi o dati fino al pagamento di un riscatto, ha registrato negli ultimi anni una crescita esponenziale, che ha riguardato anche il nostro Paese.
Il 71% delle aziende italiane ha subito un’infezione ransomware nell’ultimo anno (con un aumento del 61% rispetto all’anno precedente). Fatto ancor più grave, il 66% dei professionisti IT italiani ha dichiarato che la propria impresa ha subito più infezioni ransomware differenti.
Nella lotta contro il ransomware, come per la maggior parte delle minacce, è fondamentale il ruolo della prevenzione: ciò significa mantenere tutti i sistemi operativi e i software aggiornati con le ultime patch, soprattutto quelle relative alla cybersecurity. Allo stesso modo, è essenziale investire in soluzioni solide per proteggere la posta elettronica e gli account cloud, eseguirne regolarmente il backup e archiviarli in una rete separata. L’altro elemento cruciale è la formazione degli utenti, che devono essere informati su come evitare o segnalare tali minacce e sulle azioni da intraprendere in caso di attacco.
Nonostante tutte le misure preventive, nessun sistema può essere completamente immune al ransomware. Pertanto, è essenziale avere un piano di risposta pronto. Nel caso di un’azienda, i dipendenti dovrebbero disconnettere i propri dispositivi dalla rete nel caso venga segnalato un ransomware. Se l’attacco raggiunge un server, è necessario isolarlo il prima possibile e controllare che non vi siano altri sistemi infetti. È importante non utilizzare strumenti gratuiti di decrittografia del ransomware, poiché potrebbero essere obsoleti e non funzionare correttamente. Infine, si dovrebbe procedere al ripristino dei sistemi a partire dalle copie di backup disponibili.
Il grande dilemma associato agli attacchi ransomware è la decisione di pagare o meno il riscatto. Tra le aziende italiane colpite dal ransomware, il 23% ha accettato di pagare i cybercriminali (in calo rispetto al 27%) ma solo il 25% di loro ha riacquistato l’accesso ai propri dati dopo un singolo pagamento (in calo rispetto al 38% di un anno fa). Come è meglio comportarsi qualora ci si trovi in questa situazione? La risposta è complessa e dipende da fattori diversi, come il tempo e le risorse necessarie, le responsabilità legali e le possibili conseguenze. Per questo motivo, è difficile formulare una raccomandazione universale, anche se organismi importanti come l’FBI o l’Interpol sconsigliano decisamente ogni forma di pagamento.
Una volta superata la crisi, è necessario valutare se le minacce sono ancora presenti e dove procedure e strumenti di sicurezza hanno fallito. È importante rivedere il livello di preparazione alle minacce, imparare dall’esperienza vissuta e rafforzare le difese tecnologiche. Una cosa è certa: il ransomware continuerà a esistere finché i criminali informatici troveranno il modo di trarne profitto, quindi il modo migliore per minimizzarne l’impatto è una strategia di sicurezza incentrata sulle persone. Formando gli utenti a una maggiore resilienza alla sicurezza, è possibile spingerli a reagire in modo rapido ed efficace, spostando di fatto l’equilibrio della bilancia a vantaggio delle imprese.
Luca Maiocchi è Country Manager di Proofpoint Italia